[發明專利]失陷設備檢測方法及裝置在審
| 申請號: | 201810379276.3 | 申請日: | 2018-04-25 |
| 公開(公告)號: | CN109688092A | 公開(公告)日: | 2019-04-26 |
| 發明(設計)人: | 劉斐然 | 申請(專利權)人: | 北京微步在線科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京金信知識產權代理有限公司 11225 | 代理人: | 黃威;喻嶸 |
| 地址: | 100086 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 主機 安全威脅 設備檢測 應用數據 匹配 還原 行為特征數據 情報 流量提取 殺毒軟件 原始網絡 木馬 手機 檢測 發現 | ||
1.一種失陷設備檢測方法,其特征在于,包括:
步驟1,根據原始網絡流量提取出主機的行為特征數據,并將涉及TCP/IP應用的應用數據進行還原;
步驟2,基于還原的應用數據進行IOC安全威脅情報的匹配;
步驟3,根據所述匹配的結果,確定失陷主機。
2.根據權利要求1所述的失陷設備檢測方法,其特征在于,進行還原操作的所述應用數據包括普通流量的五元組信息、DNS請求應答信息、HTTP請求應答信息。
3.根據權利要求1所述的失陷設備檢測方法,其特征在于,所述步驟1包括:
步驟11,過濾原始網絡數據包;
步驟12,做IP分片的還原操作,如果是TCP協議要進行TCP分段的還原操作;
步驟13,識別應用層的協議。
4.根據權利要求3所述的失陷設備檢測方法,其特征在于,步驟11獲取IP數據包,并對端口做數據過濾,保留預設端口號對應的數據包。
5.根據權利要求1所述的失陷設備檢測方法,其特征在于,步驟2進一步包括:將所有情報載入內存中進行匹配。
6.根據權利要求1所述的失陷設備檢測方法,其特征在于,所述方法還包括:
步驟4,將確定的失陷主機的相關信息存儲起來,并存儲相對應的PCAP文件,供以調查分析。
7.根據權利要求1所述的失陷設備檢測方法,其特征在于,所述方法還包括:設置一讀寫鎖,在更新或變動所述安全威脅情報時鎖上所述讀寫鎖,否則解開所述讀寫鎖。
8.根據權利要求1所述的失陷設備檢測方法,其特征在于,所述方法還包括:在發現失陷主機時報警。
9.一種失陷設備檢測裝置,包括獲取模塊、匹配模塊和判斷模塊;
所述獲取模塊配置為根據原始網絡流量提取出主機的行為特征數據,并將涉及TCP/IP應用的應用數據進行還原;
所述匹配模塊配置為根據還原的應用數據進行IOC安全威脅情報的匹配;
所述判斷模塊配置為根據所述匹配的結果,確定失陷主機。
10.根據權利要求9所述的裝置,所述獲取模塊進一步配置為:過濾原始網絡數據包;做IP分片的還原操作,如果是TCP協議要進行TCP分段的還原操作;識別應用層的協議。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京微步在線科技有限公司,未經北京微步在線科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810379276.3/1.html,轉載請聲明來源鉆瓜專利網。
